Χάκερς εκμεταλλεύονται ένα κρίσιμο bug εκτέλεσης απομακρυσμένου κώδικα στο File Manager plugin του WordPress, έχοντας ως στόχο να ανεβάσουν scripts και να εκτελέσουν αυθαίρετα κώδικα σε WordPress sites που εκτελούν ευάλωτες εκδόσεις του plugin. Το File Manager plugin, το οποίο επιτρέπει στους χρήστες να διαχειρίζονται εύκολα αρχεία απευθείας από το WordPress, είναι εγκατεστημένο σε περισσότερα από 700.000 WordPress sites.
Το bug ανακαλύφθηκε από τον Gonzalo Cruz, ερευνητή της Arsys, ο οποίος επιβεβαίωσε ότι χάκερς έχουν ήδη αρχίσει να το εκμεταλλεύονται για να ανεβάσουν κακόβουλα αρχεία PHP σε ευάλωτα sites. Το εν λόγω bug επηρεάζει όλες τις εκδόσεις μεταξύ 6.0 και 6.8 του δημοφιλούς plugin. Οι προγραμματιστές του plugin το επιδιόρθωσαν άμεσα, με την κυκλοφορία της έκδοσης 6.9.
Ο Cruz ενημέρωσε σχετικά την εταιρεία ασφαλείας Wordfence του WordPress, η οποία στη συνέχεια επιβεβαίωσε την επίθεση, ενώ το Web Application Firewall της έχει ήδη μπλοκάρει πάνω από 450.000 προσπάθειες εκμετάλλευσης τις τελευταίες μέρες.
Συγκεκριμένα, η Wordfence δήλωσε ότι το firewall της έχει αποκλείσει πάνω από 450.000 προσπάθειες εκμετάλλευσης αυτού του bug τις τελευταίες μέρες, παρατηρώντας ότι οι χάκερς προσπαθούν να εισάγουν τυχαία αρχεία, τα οποία φαίνεται να ξεκινούν με τη λέξη “hard” ή “x”. Από τα δεδομένα του firewall αναφορικά με την επίθεση, διαπιστώθηκε ότι οι εισβολείς ενδέχεται να ελέγχουν το bug με κενά αρχεία, ενώ μπορεί ακόμη να επιχειρήσουν να εισάγουν κακόβουλα αρχεία. Ακολουθεί μια λίστα με ορισμένα από τα uploaded αρχεία:
- hardfork.php
- hardfind.php
- x.php”
Οι ειδικοί της Wordfence επιβεβαίωσαν ότι χάκερς προσπαθούν να ανεβάσουν αρχεία PHP κρύβοντας webshells μέσα σε εικόνες στο wp-content / plugins / wp-file-manager / lib / files / folder. Έτσι, συνιστούν την άμεση ενημέρωση του File Manager plugin με την πιο πρόσφατη έκδοση, την 6.9.
Το plugin έχει ληφθεί πάνω από 126.000 φορές τις τελευταίες δύο ημέρες, πράγμα που σημαίνει ότι τουλάχιστον 574.000 WordPress sites ενδέχεται να εκτίθενται σε χάκερς. Τέλος, αξίζει να σημειωθεί ότι το 51,5%, δηλαδή πάνω από 300.000, των sites που χρησιμοποιούν το File Manager plugin, εκτελούν μια ευάλωτη έκδοση.
